r   e   k   l   a   m   a
r   e   k   l   a   m   a

Zaloguj się za pomocą swojej obrączki: Google coraz bliższe porzucenia haseł

Strona główna Aktualności

Login i hasło – do tego sposobu uwierzytelniania się w serwisach internetowych jesteśmy tak przyzwyczajeni, że trudno sobie wyobrazić coś innego. Nawet dodatkowe mechanizmy zabezpieczeń tego procesu, stosowane np. w bankowości elektronicznej, nie stanowią jakiegoś przełomu: dostajemy np. dodatkowe kody jednorazowe, wysyłane SMS-em, czy maskę nakładaną na hasło, w którą wpisujemy jedynie wskazane znaki. Sytuacja może się jednak znacząco zmienić dzięki badaniom prowadzonym przez Google'a, którego zdaniem hasła są tanim i szybkim sposobem uwierzytelniania, które nie chroni dziś już wystarczająco użytkowników Sieci.

Zaczęło się od opublikowanego w styczniu tego roku w branżowym periodyku IEEE Security & Privacy Magazine artykułu pt. „Authentication at Scale” Erica Grosse and Mayanka Upadhyaya – dwóch starszych rangą pracowników Google'a. Pozornie nie piszą oni tam o niczym nowym – wykorzystanie hardware'owych komponentów w procesie uwierzytelniania to pomysł znany od dziesięcioleci (korzystamy z niego np. podczas wypłacania pieniędzy z bankomatu). Jednak wykorzystanie go w masowych, często darmowo udostępnianych usługach webowych to zupełnie inna sprawa.

Miesiąc później Upadhyay wystąpił na konferencji RSA w San Francisco, gdzie przedstawił stan prac Google'a nad bezhasłowym uwierzytelnianiem. Okazuje się, że Mountain View wykorzystuje już niektórych swoich pracowników jako świnki morskie do testów rozmaitych rozwiązań, a sam pomysł zdobył uznanie – każdy bowiem spotkał się w życiu z bankomatem, więc przeniesienie tego doświadczenia na komputer nie budzi zdziwienia. W tym wypadku bankomatową kartę zastąpił niewielki klucz USB, przeprowadzający kryptograficzne transakcje z usługą online, do której użytkownik miałby się zalogować. Urządzenie zawierało też czip radiowy, pozwalający na komunikację np. ze smartfonami.

Oczywiście unikatowy klucz zawarty w takim urządzeniu nie jest nigdy udostępniany. Uwierzytelnienie polega na przedstawieniu poprawnego rozwiązania matematycznego problemu na bazie klucza, ale w taki sposób, by nie wygenerować żadnych informacji, które mogłyby pozwolić na ponownie zalogowanie się. Sięgnięto po kryptosystem na bazie krzywych eliptycznych, a dane przekazywano do witryny za pomocą ciasteczek sparowanych z danym klientem SSL (tak, że są one możliwe do wykorzystania tylko w połączeniach inicjowanych przez klienta – nawet jeśli komuś uda się takie ciasteczko wykraść, nie będzie mógł się nim posłużyć. Taki system logowania, nazwany roboczo ChannelID, działa na razie z przeglądarką Chrome 24, w sposób niedostrzegalny dla użytkownika, wykorzystując takie funkcje przeglądarki jak zarządzanie ciasteczkami (ich skasowanie automatycznie prowadzi do skasowania powiązanych kluczy) czy tryb incognito (gdzie używane są oddzielne pary kluczy).

Upadhyay nie poinformował, kto jest producentem użytego przez Google sprzętu, ale przedstawiona specyfikacja wskazywać może na urządzenie Yubikey firmy Yubico, sprzedawane dziś przede wszystkim firmom jako dodatkowy sposób zabezpieczenia dostępu do usług IT w ich sieciach. Przyznał też, że forma klucza USB może nie być odpowiednia dla każdego, więc Google pracuje nad innymi formami hardware'owych kluczy, w tym smartfonami i biżuterią. Docelowo posiadacz takiej kryptograficznej obrączki powinien móc dotknąć komputera, by się zalogować do systemu.

Upowszechnienie się takich rozwiązań nie będzie jednak łatwe. Formy bezprzewodowej komunikacji na krótki dystans między urządzeniami nie są w żaden sposób zestandaryzowane. Wielu producentów prowadzi prace nad technologią NFC (Near Field Communication), ale dopiero pojawia się ona w smartfonach, a na jej szybki debiut na laptopach czy desktopach raczej się nie zanosi. Dlatego jak na razie, zanim zaczniemy do Gmaila dostawać obrączki, Google radzi byśmy korzystali z dwustopniowego uwierzytelnienia, które w tym wypadku sprowadza się do wykorzystania telefonu i systemu kodów jednorazowych przy logowaniu. Szczęśliwie rozwiązanie to nie wymusza korzystania z SMS-ów, można wykorzystać do generowania kodów aplikację Google Authenticator.

Pomysł nie jest zły – coraz więcej serwisów i aplikacji webowych wprowadza obsługę google'owego systemu uwierzytelniania, ostatnio wprowadzono ją do Drupala i Dropboksa, logować się możemy z Google Authenticatorem do WordPressa, Amazon Web Services i LastPass. Z czasem lista ta powinna się tylko powiększać, utrudniając życie tym, którzy zajmują się wykradaniem naszych cyfrowych tożsamości.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.